本土COVID-19疫情蔓延,企業紛紛緊急實施員工異地辦公或居家辦公應變措施,除了要有順暢的網路連線以供存取雲端服務與公司內部應用系統,更必須同時兼顧資安風險控管,也讓新興的SASE(安全存取服務邊緣)大獲企業青睞。
以CDN(內容遞送網路)服務起家的Akamai,其在全球部署的Akamai Intelligent Edge分散式運算平台,在此情況下正可發揮優勢,更藉由增添企業應用訪問管理(Enterprise Application Access,EAA)與企業上網行為管理(Enterprise Threat Protector,ETP)功能,協助客戶採取零信任架構來保護資訊安全。
Akamai技術支援經理王明輝說明,SASE框架的核心理念是以使用者為中心,在邊緣端運用雲端原生平台融合網路與安全功能,依據使用者應用場景採取動態安全策略,來達到安全防護與提升網路傳輸效能的最佳效益。
「Akamai Intelligent Edge平台發展方向與SASE核心理念相當契合,Akamai目前已在全球135個國家,協同1,400家電信業者建立互聯,來提供用戶網路加速與安全功能。使用者會自動被分配到最接近、效能最佳的伺服器,整體配置機制是由Akamai發展超過20年的演算法來進行分配。」王明輝說。
邊緣服務實作零信任網路架構
透過邊緣端來建立第一道防線,王明輝認為,最大優勢是可隱藏企業對外公開的連接通道。多數企業開放員工透過VPN連線登入企業內網,駭客組織即可運用掃描等惡意工具找到對外公開的IP位址,循線發動攻擊。透過邊緣端服務,不論是地端資料中心或雲端平台,皆可有效地隱藏企業對外連線的位址。
如今居家辦公的員工,不論是連線到企業內網或雲端平台,皆可透過Akamai邊緣端進行使用者身分認證與流量管控,例如從特定地區發起的連線請求,可透過邊緣逕行阻斷。經過多因素驗證完成後,用戶連線可基於應用加速,導向目的地位址。
在SASE框架中最受關注,莫過於零信任網路架構(ZTNA),這也是Gartner建議的切入點。王明輝說明,零信任安全存取不是只有身分驗證機制,更重要的是先預設所有連線皆為不可信任。過去由外部連入地端資料中心的連線,只要通過防火牆檢測,即視為信任,預設允許存取內部所有應用系統。零信任則是改變既有的信任觀念,預設視為不信任,並且建立最高等級的管控,藉由對所有連線都加密、進行驗證、詳加記錄,再賦予最小的權限,以網路隔離方式讓用戶存取應用服務,才能確保資安風險可控可管。Akamai基於既有的邊緣環境,提供企業應用訪問管理與企業上網行為管理服務,即可輔助實作零信任網路架構。
員工連線改由應用代理存取
現在居家遠距辦公,無論採用公務配發或私人裝置,若需監控設備的安全性,只要連線是經過Akamai平台上具備的企業應用訪問管理機制,即可檢查作業系統版本更新、是否有啟動防火牆與防毒、用戶端憑證安全等風險要項,再依據檢查結果賦予不同安全等級的存取政策,例如未啟用防火牆與防毒功能等,若風險等級過高,就禁止遠端連線存取內部應用系統。
Akamai技術支援經理王明輝建議,資安風險控管應改採零信任配置,意即改變既有IT信任機制,預設視為不信任,並採最高等級的驗證與管控,讓所有連線都加密、進行驗證、詳加記錄,再賦予所有連線最小的存取權限。
針對權限管理,除了可整合企業內部Active Directory或LDAP系統,亦可增添多因素驗證,在登入後依據帳號所屬群組或角色,配置合適的存取權限。此外,啟用限制用戶帳號登入的地理位置,以及登入存取連線的允許時間區間,可防範帳密外流後被攻擊者用來嘗試登入。更重要的是所有的存取行為都予以記錄,建立可被稽核的機制,萬一發生資安事件才有跡可循。
零信任網路架構必要的隔離機制,須預設網路存取行為皆為不安全連線,而非傳統防火牆的ACL設定規則,邊緣伺服器可在防火牆前方先行識別把關。並且搭配應用代理機制,不給使用者直接存取應用的權限,以強制加密、負載平衡、健康檢測等機制建立連線,整合WAF(網頁應用防火牆)技術還可執行後端應用程式檢測。
結合企業上網行為管理功能,則可實際檢查使用者是否曾經連線存取惡意網站、誤觸惡意程式,或者辦公時段瀏覽公司管理政策列為非法的網站,並評估使用者的風險等級,以決定允許存取的應用服務類型。
零壹科技資深技術顧問謝季樺實際接觸企業IT的經驗,發現在本土疫情爆發後,企業IT人員最大的工作壓力,莫過於須立即提供遠端連線機制,確保同仁不管是居家或異地辦公,皆可執行日常工作。他說明,遠端連線的部分若採用Akamai企業應用訪問管理機制,相較於傳統的VPN連線方式,可省去得依據不同部門的員工應用存取需求,手動調整網路連線規則設定與權限檢查機制的繁雜程序。至於應用存取,Akamai企業上網行為管理機制可先行定義控管措施,依據來源用戶與存取目的地位址,讓居家辦公員工連線回到企業內部存取應用系統,或部署在公有雲平台上的服務。進而建立使用者執行工作的流程中,必要的安全控管環節,降低應用場景的資安風險。
數位指紋比對防範帳密盜用
Akamai SASE平台藍圖中,針對線上應用的保護,除了既有擅長的DDoS流量清洗、Web及API安全、Bot管理,最新還增加了帳號保護,主要是用於驗證登入者確實為本人,而非被盜取帳號嘗試登入。帳號保護是運用機器學習演算法,建立使用者的數位指紋,內容包括使用者存取應用服務的慣性,例如時間、地點、連網服務商、裝置類型等細節。王明輝說明,假設攻擊者從暗網中購買取得帳密,開始執行嘗試登入,數位指紋會比對行為模式,藉此偵測發現異常,隨即啟動阻擋並通知管理者。
企業對數位化應用所看重的加速、擴展性、可用性等能力,在CDN既有的功能中即可提供IP加速、流量管理,同時還具備邊緣運算能力,讓企業得以運行JavaScript程式、提供Key-Value儲存技術,以加速回應使用者的存取請求。
前述的流量管理,涵蓋了負載平衡、存取控管、等待室或優先權等機制。例如獨具特色的等待室機制,可解決電商平台舉辦行銷活動時瞬間湧入大量用戶,導致顧客抱怨回應速度過慢,甚至已經放到購物車卻無法結帳的狀況。Akamai運用流量管理,可讓顧客先順暢地執行結帳流程,其他後到者的連線則集中在等待室,待網站負載降低後再逐漸開放,讓行銷活動得以發揮效益。